Azure最新アップデート – Vnet Service EndpointとFirewall and Vnet for StorageのGA –

Xseedブログをご覧の皆様。
どうも。ここ最近おなじみのプロフェッショナルサービスグループの鶴見です。
タイトルだけでほぼ今回の記事の内容が分かってしまいますよね。
今回はAzureの1/31のアップデートで Vnet Service Endpoint機能とFirewall and Virtual Network for Storage機能の全リージョンGA に関して取り上げます。

正直アナウンスの内容はそれ以上でも以下でもないので、特にGAされた機能がどういったものなのか
といった部分を中心に書いていきます。

 

Vnet Service Endpoint

こちらの機能はStorageやSQLの機能というよりも仮想ネットワーク側の機能になります。
PaaSであるStorage AccountやSQL Databaseは基本的にエンドポイント(FQDN)が払い出され、インターネット経由で接続することになります。

ただ、実際に両者を使用するにあたって、インターネット経由で接続せずに、仮想ネットワークなどのプライベートIPから直接接続したいことも多々あると思います。
その要望に対応するのがVnet Service Endpointになります。

Vnet Service Endpointは仮想ネットワークをStorageやSQL Databaseまで拡張するようなサービスとなっており、サブネットからStorageもしくはSQL DatabaseへのプライベートIPでの接続を提供します。

実際の設定画面も以下の様にシンプルかつ簡単です。

サービスエンドポイントを設定するサブネットと対象のサービスを指定するだけです!

 

Firewall and Vnet for Storage

ここまで読み進めていただいて疑問に思った方もいると思いますが、
「インターネット経由せずにプライベートIPで接続できるのは分かったけど、Storageは結局インターネットには公開されていてIP制限とかないし、セキュアとは言えないじゃん!」

 

・・・確かにそうですね。Storage Accountを公開するか否かレベルの設定はできますが、アクセスキーやSASトークンが流出したら接続され放題ですね。

 

でも安心してください!そのためにあるのがFirewall and Vnet for Storage機能です!

この機能は特定の仮想ネットワークもしくはIPからのみ接続できるように設定が出来ます。
※SQL Databaseはもともとファイアウォール機能があるので問題ないです。

仮想ネットワークレベルで制御する場合は許可する仮想ネットワークおよびサブネットを指定します。
ただ、上記のサービスエンドポイントを有効化したサブネットである必要があります。

IPアドレスで指定する場合は接続を許可するIPアドレス範囲を書いていくホワイトリスト形式になります。
以下が実際の設定画面です。

下部に書かれているモノは例外としてStorageへの接続を許可するものです。
「信頼されたMicrosoftサービス」はDveTest Labs、Event Grid、Event Hub、Networkの四種類のサービスです。
これらはネットワークアクセス許可で許可できないネットワークから接続をしてきますが、動作させるためにはStorageへの接続が必要なために、例外として切り出されています。

 

終わりに

クラウドを使用していくうえで、セキュリティやコネクタビリティの部分は特に気を遣う必要があるので、このGAはうれしいですね。
徐々にPaaSに対するセキュリティ機能が拡充されていっており、MSとしても力を入れていることが見て取れる気がします。

短くなりましたが、読んでいただきありがとうございます。
ではでは。